Es ist ein ganz normaler Mittwoch bei Unternehmen XYZ Inc., wo Sie seit 2007 als Systemingenieur tätig sind. Ihr typischer Tag beginnt mit einer Vielzahl von Problemen - einigen großen und einigen kleinen. Eine Gruppe von Workstations in der Rechtsabteilung hat den letzten Patch-Zyklus verpasst, Ihre Freundin in der Finanzabteilung kann ihr cooles IE-Plug-in nicht zum Laufen bringen und das SQL-Administratorteam hat Probleme beim Einloggen in den SQL-Cluster, auf dem die Geschäftsanwendungen von XYZ laufen.
Sie lösen die Probleme zeitnah, indem Sie sich mit Ihren Domänenadministrator-Anmeldedaten bei jedem Problemsystem anmelden. Die dringenden Probleme des Tages wurden behoben, aber es könnte sich eine größere, unheimlichere Sicherheitssituation entwickeln.
Die Nutzung eines hochprivilegierten Kontos, z. B. Domänenadministrator, über mehrere und unterschiedliche Systeme hinweg erhöht die Wahrscheinlichkeit, dass ein Pass-the-Hash-Angriff (PtH) oder eine andere Technik zum Diebstahl von Anmeldeinformationen verwendet werden kann, um die Kontrolle über Konten zu erlangen, die über Administratorrechte für praktisch alle hochwertigen Systeme eines Unternehmens verfügen. Diese Techniken zum Diebstahl von Anmeldeinformationen zielen darauf ab, so viele Domänen-Anmeldeinformationen wie möglich abzugreifen, die auf einem angegriffenen System gespeichert sind. Sobald eine Workstation oder ein Server kompromittiert wurde, dauert es in der Regel 24 bis 48 Stunden, bis die Domänenadministrator-Anmeldeinformationen erlangt sind. Erschwerend kommt hinzu, dass die Entdeckung der ersten Kompromittierung in der Regel Monate dauert, so dass die Eindringlinge mehr als genug Zeit haben, um an unternehmenskritische Systeme und Daten zu gelangen. Die Rechnung ist ganz einfach: Je weniger Systeme Sie mit diesen privilegierten Konten betreten, desto geringer ist das Risiko einer Kompromittierung.
Microsoft hat Sicherheitsupdates und Entschärfungen in neueren Betriebssystemen veröffentlicht, um einige dieser Angriffe zu verhindern. Diese Patches und Abhilfemaßnahmen sollten Teil einer umfassenderen Strategie sein, die auch Kontrollen für Ihre hoch privilegierten Konten vorsieht. Diese Kontrollen sollten unter anderem die Einschränkung und den Schutz von privilegierten Domänenkonten, die Begrenzung der Anzahl von privilegierten Domänenkonten und die Trennung von administrativen Konten nach Aktionen oder Aufgaben beinhalten. Eine der wichtigsten Investitionen in Microsoft Identity Manager 2015 (MIM) ist Privileged Access Management (PAM). PAM in MIM 2015 nutzt neue Funktionen in Windows Server 10 Active Directory Domain Services (ADDS) und PAM PowerShell CMDLETS, die dazu beitragen, das Risiko von Lateral Movement und Privilege Escalation zu verringern, indem sie die Verwendung von hoch privilegierten Domänenkonten isolieren und einschränken.
Der MIM-Ansatz für PAM ist Just-in-Time (JIT) Admin Access. Die Möglichkeit für Administratoren, den Zugriff je nach Bedarf zu erweitern und gleichzeitig Rechte zu nutzen, die speziell auf die jeweilige Aufgabe zugeschnitten sind. Der Lebenszyklus dieses Prozesses sieht folgendermaßen aus:
- Vorbereiten: Bestimmen Sie, welche Benutzer derzeit über privilegierten Zugriff verfügen. Eine Isolierung und Eingrenzung dieser Berechtigungen ist ebenfalls erforderlich.
- Schützen: Implementieren Sie den Step-up-Prozess und den AuthN-Schutz für diese privilegierten Konten.
- Bedienen: Die Benutzer beantragen den JIT-Administrator-Zugang, bevor sie Aufgaben ausführen, für die privilegierte Anmeldedaten erforderlich sind. Der Step-up-Zugang wird in eine begrenzte "Time Box" gelegt, in der Regel für die Dauer der jeweiligen Aufgabe.
- Überwachen: Es wird ein "Sicherheitsnetz" zur Prüfung, Berichterstattung und Alarmierung bei diesen Anträgen eingerichtet.
Wie wird das alles architektonisch umgesetzt?
Die Lösung besteht aus mehreren beweglichen Teilen:
Eine separate Gesamtstruktur, die auf Windows Server 10 ADDS aufbaut und die MIM 2015-Infrastruktur sowie Duplikate der privilegierten Gruppen und Benutzerkonten aus Ihrer CORP-Gesamtstruktur enthält. Diese Benutzerobjekte und Gruppen sind es, die für die Erhöhung des Zugriffs und der Rechte zuständig sind. Der Server-Footprint für diese Gesamtstruktur würde 2 Domänencontroller für Hochverfügbarkeit umfassen.
Zwischen der PAM-Forest und der CORP-Forest wird dann eine wechselseitige Vertrauensstellung auf Forstebene mit deaktivierter SID-Filterung eingerichtet. Der SID-Verlauf wird genutzt, um den doppelten Benutzer- und Gruppenobjekten in der PAM-Gesamtstruktur den Zugriff auf die CORP-Gesamtstruktur zu ermöglichen. Der erweiterte Zugriff erfolgt, wenn sich Benutzer mit ihrem PAM-Konto, dem von MIM temporärer Zugriff auf eine der doppelten Admin-Gruppen gewährt wurde, bei CORP anmelden. Für Admins, die mit AD- und SID-Verlauf vertraut sind, sind dies keine neuen Konzepte - der Clou ist, was MIM, PowerShell und Server 10 zu dieser Gleichung beitragen.
Windows Server 10 bietet die Möglichkeit, der Gruppenmitgliedschaft eine TTL hinzuzufügen. Diese TTL wird verwendet, um den Step-up-Zugriff "zeitlich zu begrenzen". MIM verwaltet die Bereitstellung von Objekten in diesen Gruppen sowie die Anwendung des TTL-Werts. Server 10 ADDS DE-provisioniert die Benutzer, wenn der TTL-Wert erreicht ist.
Der Workflow für diesen gesamten Prozess kann über eine grafische Benutzeroberfläche abgewickelt werden, die mithilfe der PAM REST API in MIM und/oder PAM PowerShell CMDLETS entwickelt wurde.
Löst diese Lösung den Diebstahl von Anmeldeinformationen im Unternehmen vollständig?
Nein, aber als Teil einer größeren Anstrengung zur Stärkung der eigenen Sicherheitslage kann PAM mit MIM 2015 und Server 10 ADDS viel dazu beitragen, dass Administratoren und CISOs nachts besser schlafen können.
Im Abschnitt Referenzen unten finden Sie mehrere Links mit zusätzlichen Informationen über PAM, MIM 2015 und Techniken zum Diebstahl von Zugangsdaten.
Referenzen:
https://technet.microsoft.com/en-us/security/dn785092
https://pentestmonkey.net/uncategorized/from-local-admin-to-domain-admin
https://blog.kloud.com.au/2014/11/26/mim-and-privileged-access-management/
https://en.wikipedia.org/wiki/Pass_the_hash
https://en.wikipedia.org/wiki/Privileged_Identity_Management